Présentation au COTER Jeudi 7 décembre 2017 Le RGPD Présentation au COTER Jeudi 7 décembre 2017 O ALLIANCE-TIC
Sommaire O 1/ Cadre réglementaire (rappel) 2/ Les données 3/ Le RGPD en détails et en étapes O O O COTER - 7 décembre 2017 ALLIANCE-TIC
1/ CADRE REGLEMENTAIRE O COTER - 7 décembre 2017 ALLIANCE-TIC
Règlement Général sur la protection des données LE RGPD Règlement général sur la protection des données O Règlement Général sur la protection des données Adopté par l’UE le 14 avril 2016 Applicable le 25 mai 2018 en France Met à jour les principes de la loi informatique et libertés du 6 janvier 1978 O COTER - 7 décembre 2017 ALLIANCE-TIC
CADRE GENERAL EUROPEEN LE RGPD trois objectifs O Renforcer les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants). Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées. CADRE GENERAL EUROPEEN O COTER - 7 décembre 2017 ALLIANCE-TIC
2/ LES DONNEES O COTER - 7 décembre 2017 ALLIANCE-TIC
Données à caractère personnelle LES DONNEES LES DONNÉES A CARACTERE PERSONNELLE O Données à caractère personnelle Ensemble d’informations permettant de discriminer une personne au sein d’une population (adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, etc, …) Données sensibles Opinions politiques, philosophiques, religieuses, Origines raciales ou ethniques, Appartenance syndicale Santé, orientation sexuelle Condamnations, mesures de sureté, Ex : un fichier avec blessure à la main ou en congé partiel de maternité, risque juridique, la loi impose des contraintes renforcées : Sécurité, Justification de la nécessité de les traiter Consentement express des personnes avant le traitement la collecte d’une donnée doit être justifiée : c’est la proportionnalité. Par méconnaissance, les agents ont souvent tendance à demander beaucoup trop d’informations. Ainsi, s’ils veulent faire des statistiques sur l’âge, pas besoin d’exiger la date de naissance, un système par tranches d’âge est largement suffisant. Seuls les agents habilités ont accès aux données. Et, pour être habilité, il faut participer à la finalité du traitement. O COTER - 7 décembre 2017 ALLIANCE-TIC
O O LES DONNEES Les données à caractère personnel LE TRAITEMENT, LA CONSERVATION ET L’ARCHIVAGE O Les données à caractère personnel sont recueillies et traitées pour un usage déterminé et légitimé. une priorité stratégique La durée de conservation doit être adaptée à la finalité. Ensuite une priorité stratégique si besoin, les données seront archivées, et ne feront plus l’objet de traitements. O COTER - 7 décembre 2017 ALLIANCE-TIC
3/ Le RGPD en détails et en étapes O COTER - 7 décembre 2017 ALLIANCE-TIC
O O LES ETAPES ALLIANCE-TIC LES 6 ETAPES DE LA CNIL Désigner un pilote Un DPO Cartographier Tenir un registre Prioriser les actions Identifier & prioriser Gérer les risques Si risques élevés : PIA Organiser les processus Procédure interne Documenter Somme de documents O COTER - 7 décembre 2017 ALLIANCE-TIC
DATA PROTECTION OFFICER LE DPO DATA PROTECTION OFFICER O DATA PROTECTION OFFICER Délégué à la protection des données Un chef d’orchestre Lui donner les moyens humains et financier Indépendance (hiérarchie) Pilote, informe, conseil, sensibilise, contrôle le respect, coopère avec l’organisme Le délégué à la protection des données est principalement chargé : d’informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés, de contrôler le respect du règlement et du droit national en matière de protection des données, de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution, de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci. Le délégué doit notamment : informer sur le contenu des nouvelles obligations, sensibiliser les décideurs sur l’impact de ces nouvelles règles, réaliser l’inventaire des traitements de données de votre organisme, concevoir des actions de sensibilisation, piloter la conformité en continu. Obligatoire pour chaque collectivité O COTER - 7 décembre 2017 ALLIANCE-TIC
O Les droits : Les sous-traitants : O RGPD QUELQUES TERMES O Les droits : droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement. Les sous-traitants : La responsabilité s’étend aux sous-traitants il faut contractualiser la relation pour ne pas être impliqué en cas de défaillance du sous-traitant (voir exemple sur le site de la CNIL). en cas de partage de données avec un sous-traitant, il est recommandé l’utilisation de technique de cryptage. QUELQUES TERMES O COTER - 7 décembre 2017 ALLIANCE-TIC
O O LES ETAPES Cartographier Prioriser Gérer les risques ALLIANCE-TIC DETAILS O Cartographier Recenser les traitements, les objectifs, les acteurs, les flux (EU ou non). Tenir un registre des traitements. Rencontrer les services et les entités qui traitent des données. Identifiés les sous-traitants. Ou sont stocké les données, combien de temps elles sont conservées ? Prioriser Données strictement nécessaires aux objectifs. Base juridique du traitement. Les mentions d’information. Les sous-traitants. L’exercice du droit (accès, rectification, portabilité, retrait). Les mesures de sécurité. Gérer les risques Si risques élevés pour les droits et libertés des personnes étude d’impact sur la protection des données (PIA) Voir les guides PIA de la CNIL. Catalogue de bonnes pratiques. O COTER - 7 décembre 2017 ALLIANCE-TIC
O O LES ETAPES Organiser Documenter ALLIANCE-TIC DETAILS Mettre en place des procédures internes qui garantissent la protection des données à tout moment. Processus en cas de problème (72H00 pour alerter). Processus en cas de demande de renseignements. Sensibiliser et former. Documenter Registre des traitements. Analyses d’impact si nécessaire. Encadrement des transferts de données hors UE Recueil du consentement des personnes. Les contrats avec les sous-traitants. Les procédures internes. O COTER - 7 décembre 2017 ALLIANCE-TIC
LES PRINCIPES LE PRIVACY BY DESIGN O La protection des données dès la conception et par défaut. Les responsables de traitements doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils doivent veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »). PRIVACY BY DESIGN O COTER - 7 décembre 2017 ALLIANCE-TIC
LES PRINCIPES Accountability O Un allègement des formalités administratives et une responsabilisation des acteurs. Les responsables de traitements et les sous-traitants doivent mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability). La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Accountability O COTER - 7 décembre 2017 ALLIANCE-TIC
Jusqu’à 10 – 20 millions d’euros d’amendes RGPD PROBLEMES ET Les sanctions O En cas de problème : Mettre en place un processus en cas de problème. Notification à la CNIL de toute violation dans les meilleurs délais dans les 72H après en avoir pris connaissance notification des violations de données personnelles aux personnes concernées si un risque élevé pour les droits et libertés d’une personne physique est avéré (ou communication publique). S’agissant des amendes administratives : de 10 ou 20 millions d’euros, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Jusqu’à 10 – 20 millions d’euros d’amendes O COTER - 7 décembre 2017 ALLIANCE-TIC